Fragen zur .MAC Sicherheit und https

[steza]

Hallo zusammen,

ich habe mal eine Frage zum thema Sicherheit des .MAC Accounts und alles, was damit zu tun hat.

Als erstes fällt mir mal auf, dass wenn ich auf die .MAC Seite gehe und mich einlogge kein HTTPS verwendet wird. Warum ist das so oder gibt es einen Secure Link? Ich muss ehrlich sein, das verwundert mich sehr und gefällt mir auch nicht. Sollte ich nämlich mal ein unsicheres WLAN haben könnte ja jeder meine Sachen sofort im Klartext mitlesen.

Wie Sicher sind Passwörter, die ich über .MAC und iSync synce (Schlüsselbund)?

Also Sicherheitstechnisch bin ich von DOTMAC leider gar nicht überzeugt.

Vielleicht könnt ihr mir das austreiben.

Danke und Grüße
steza

 

[ruelpsnase]

.Mac reicht für alle Anforderungen vom Typ "denen vertrau' ich". Sobald man aber gerne die Stufe "paranoid" betreten möchte, gibt es wohl keinen, der .Mac unumwunden empfehlen kann.
Niemand kann Dir sagen, was wie wo genau übertragen wird und wie es wann gespeichert wird. Wobei das alle "Netzwerkspeicher" betrifft (wie z.B. Mozy).
Soweit ich aber weiss, werden alle Schüsselbunde etc... noch mit Deinem Passwort und AES verschlüsselt, d.h. die Qualität der Verschlüsselung hängt von Deinem Passwort ab.

Als Alternative könnte man sich auch Amazon's S3-Service ansehen. Da gibt es mittlerweile OopenSource-Software - und die Daten werden verschlüsselt übertragen und gespeichert, wobei die Kosten sehr moderat sind (gucksdu auf http://aws.amazon.com). Als Programm kann man JungleDisk benutzen, welches sowohl für den Mac als auch Windows verfügbar ist. Hat zwar nicht die rundum-totschlag-und-glücklich-Funktionalität wie .mac, aber ist brauchbar.

Ansonsten kannst Du Deine wichtigen Daten ja noch in ein verschlüsseltes Image packen. Unter Windows empfehle ich immer, TrueCrypt zu benutzen (was es in nativer Version für den Mac noch nicht gibt).

 

[steza]

Vielen Dank für deine Antwort.

Und wie verhält es sich nun mit dem Webzugang zum .MAC, wieso gibt es dort kein HTTPS?
Das habe ich auch schon mal den Apple Support gerat, aber nie ne Antwort bekomme

Danke und Grüße

 

[ruelpsnase]

Gute Frage. Irgendein inoffizieller Informant von Apple hier, der das beantworten könnte? (Vielleicht schafft deren Webserver die Verschlüsselung nicht und bricht aufgrund der Last zusammen )

 

[An-Jay]

Nur so eine Idee von mir:

Der Zugang zu .Mac mitsamt Authentifizierung läuft ja anscheinend via WebObjects, wie man anhand der Adressleiste leicht erkennen kann. Vielleicht bieten die WebObjects hier alternative Verschlüsselungsmethoden zu SSL.

Mir ist es auch schon aufgefallen, ich kann mir aber irgendwie nicht vorstellen, dass Apple es wagt, die Anmeldedaten seiner (zahlenden!) User im Klartext über den Äther zu schicken.

 

[mfkne]

Nein, natürlich kann WebObjects den Traffic zwischen Browser und Server nicht verschlüsseln. Das kann nur SSL.

 

[ruelpsnase]

Bin gerade mal mit dem Netzwerkschnüffler ran. Bin ja neugierig Es sieht so als, als ob zumindest bei der Anmeldung SSL eingeschaltet wird. Es gibt jedenfalls einen SSL-Handshake. Hatte keine Zeit, mich da komplett durchzuwühlen, aber die Anmeldung ist mehr oder minder sicher und die Daten, die vom dotmac-Server kommen, sind nicht verschlüsselt.

 

[mds]

HAlso Sicherheitstechnisch bin ich von DOTMAC leider gar nicht überzeugt.

Vielleicht könnt ihr mir das austreiben.

… leider nicht, die grösstenteils fehlende Verschlüsselung für die .Mac-Verbindungen ist tatsächlich problematisch – die Befürchtung, Verbindungen im Internet könnten belauscht werden, ist keine Paranoia, sondern ein alltägliches Problem, insbesondere auch in offenen WLANs.

Vor einiger Zeit habe ich einen kurzen Blogeintrag zum Thema verfasst, siehe http://www.macmacken.com/2007/09/17/unsicheres-mac-mangels-verschluesselung/.

Martin